Passwörter > wie oft ändern?

Cool Master · 25. Juli 2014

okni schrieb:
Also ich habe hier zu Hause seit 2005 einen DSL Anschluss mit einem WLAN Router worüber seit dem mehrere Rechner über WLAN verbundenen sind, und seit ca 3 auch Smartphones und Tablets, jedenfalls mir ist da sowas noch nicht passiert.

Aha also nur weil es dir noch nicht passiert ist kann es niemand passieren? Du musst einfach nur mal ein Nachbar haben der etwas mehr als Windows kennt. Ich sage mal zwei Stichworte Kali und airmon-ng. Daher mal die Frage wie alt ist dein WLAN Key?

okni schrieb:
Und wenn du ganz sicher gehen willst, dann trenne deine Rechner und Smartphones/Tablets komplett vom Internet, und schließe nie etwas über USB an und lege keine CD/DVD ein, und erledige deine Bankgeschäfte wieder traditionell über den Bankschalter ab, und dann bist du relativ sicher vor den ganzen bösen Hackern da draußen.

Zieh es bitte nicht ins lächerliche... Nur weil du dir es nicht vorstellen kannst, beduetet es nicht dass es keine Tools gibt um WLAN bzw. WPA2 super leicht zu knacken (kleiner Hinweis ich habe das Tool erwähnt) und somit schön deine Internetverbindung zu misbrauchen. Mit einer gespooften MAC Adresse kannst du noch nicht mal nachweisen das es ein anderer war somit hättest du recht viel Ärger am Hals.

Heen · 25. Juli 2014

@okni

Nee. 2 Geschichten, die mir am selben Geldautomat passiert sind:

- Ich komme am Wochenende in die Filiale, der Automat piept. Karte steckt, keiner da! Ich musste leider schnell weg, hab (mangels Smartphone) meinen Bruder angerufen, er solle grad checken, ob der Name auf der Karte in meinem Ort zu finden ist im Telefonbuch.
Adresse und Nummer genannt, angerufen, kurz hin, Karte in den Briefkasten gesteckt und weg

- Ich fahre (vor wenigen Wochen) zur Filiale, ein Kleinwagen steht schräg auf dem Parkplatz. Der ältere Herr fragt mich, ob ich ihn in eine Nachbarsiedlung fahren kann, sein Auto spinne, Bremse kaputt. Ich steige ein: Bremszug der Handbremse gerissen. Ich zu ihm: fahren Sie zur Werkstatt, wenn sonst nichts ist, ist das OK. Hat er mir 2 EUR für die hilfreiche Analyse und das gesparte Abschleppen in die Hand gedrückt. Zudem musste er zu keinem Fremden ins Auto einsteigen.

Ob digital oder analog, man braucht immer eine freie Hand, um sie sich vor den Kopp hauen zu können.

okni · 25. Juli 2014

@CoolMaster, ich will hier garnichts ins lächerliche ziehen, aber Fakt ist egal was du für Vorkehrungen treffen tust, solange du mit dem Internet verbunden bist, bist du auch angreifbar.

Der-Orden-Xar · 25. Juli 2014

Das ist richtig, aber es macht einen Unterschied, ob man bei mTAN den Bankzugang = PC/LAN und das Handy = SMS knacken muss, oder ob man einfach nur das Handy infiltrieren braucht, am Besten natürlich über eine super-tolle-blinki-geile app mit maximaler Berechtigung. Bei Leuten mit letzterem ist aber eh einiges nicht Vorhanden...

brianmolko · 25. Juli 2014

okni schrieb:
... treffen tust,

triffst

okni · 25. Juli 2014

brianmolko schrieb:
triffst

Ja Herr Lehrer wegen mir auch so.

"?" · 26. Juli 2014

Hier scheinen sich ja alle einig zu sein das das ein regelmäßiger Wechsel nicht so sinnvoll ist. Wichtig ist das es niemals das selbe Passwort ist, und das es nicht gerade 12345 oder qwertz ist, (oder Nudelsuppe).
Bei der Anzahl der Stellen habe ich aber wohl nicht aufgepasst Herr Lehrer

Das es bei Computerbase möglich ist ein einstelliges Passwort zu verwenden ist (in meinen Augen) trotzdem etwas fragwürdig. 4 Stellen Minimum sollten es auch für unkritische Seiten sein. Andererseits wer soll es wissen das mein Passwort nun "H" ist

Spaß beiseite, 20-25 Stellen sollten ja reichen. (Oder doch weniger wie bei Otto nur 12 Stellen?)

Könnt ihr mir noch mal ne Reihenfolge geben welche Passwortwebseiten geändert werden sollten?
Was ist am Wechselwürdigsten? eMail, Bank........Shops wo man nur per Vorkasse bestellt, irgendwelche Foren.
Internetprovider kann ich weiß Gott nicht einschätzen! Zumal es ja dann eh über die Leitung geht. Aber was könnte passieren wenn das Passwort jemand hat? Die sichern sich doch auch mit Bandaufnahmen ab.

okni · 26. Juli 2014

Ich würde sagen an erster Stelle stehen die Banken, gefolgt von Shops und danach vielleicht noch die eMail Accounts, und alles andere ist meiner Meinung nach vernachlässigbar.

"?" · 26. Juli 2014

Banken auf Platz 1? Ähm Upps. Nie geändert da ich das Passwort lieber nur im Kopf habe. Bei meiner Bank gibs ja auch noch nen Captcha bei der Anmeldung.

Wisst ihr was mir bei der "brauchst nicht zu oft zu wechseln" Aussage wieder durch den Kopf geht? Warum ich dann KeePass nutzen sollte und nicht LibreOffice Dokumente verschlüsselt? Irgendeiner sagte mir mal das die Verschlüsselung gar nicht so schlecht ist.

okni · 26. Juli 2014

Du hast gefragt, und ich dir geantwortet wie ich es von der Reihenfolge her sehe.
Obwohl wie ich schon weiter oben geschrieben habe, bin ich eher der Passwortwechsel Muffel, und mache das eigentlich so gut wie nie, ausser bei den Banken die es automatisch nach einer gewissen Zeit verlangen das man sie ändert.

brianmolko · 26. Juli 2014

Warum sollte man sein Bankenpasswort regelmäßig ändern? Ohne Tan ist dort überhaupt nichts möglich.

shubfm · 26. Juli 2014

Wer in seinem onlinebanking account kreditkartendaten hinterlegt hat zb könnte sich schon ein stärkeres passwort überlegen. an gewisse nützliche informationen kommt man immer ran und mit etwas kreativität lässt sich damit arbeiten...

Blackbird1997 · 27. Juli 2014

okni schrieb:
danach vielleicht noch die eMail Accounts

Was heißt da vielleicht? Die Email-Accounts müssen auf jeden Fall ein gutes Passwort haben. Hat man darauf Zugriff dann kann man Problemlos die Passwörter zurücksetzen lassen und mit dem Link in den Emails bestätigen.
Dadurch hat dann der Fremde Zugriff, aber du wurde ausgesperrt.

okni · 27. Juli 2014

Das man auch bei eMail Accounts sichere Passwörter haben sollte habe ich auch nirgends bestritten, ich habe hier nur auf die Frage nach der Reihenfolge der Wichtigkeit geantwortet.

Cool Master · 27. Juli 2014

Herrmann schrieb:
Bei meiner Bank gibs ja auch noch nen Captcha bei der Anmeldung

Das soll nur vor automatischen Anmeldungsversuchen schützen - und ist schon lange geknackt. Selbst Googles recaptcha ist schon seit einiger Zeit geknackt.

"?" · 27. Juli 2014

Aber immerhin besser als ohne. Damals war bei der Kasse mit den roten S eine Anmeldung mit Kontonummer üblich. Damit ist allerdings auch nichts schlimmes passiert.
Ich habe auch gerade mal den alten c-'t Artikel (2014, Heft 4) aufgearbeitet. Dabei steht Microsofts Outlook schlechter da, als Google Mail?!

Vielleicht ist da ja https://mailbox.org/ das sicherste. (Testlink erwünscht, wer einen hat)

Cool Master · 28. Juli 2014

Herrmann schrieb:
Dabei steht Microsofts Outlook schlechter da, als Google Mail?!

Kann ich nicht wirklich sagen ich nutze mein eigenen Server.

Yuuri · 28. Juli 2014

Herrmann schrieb:
Dabei steht Microsofts Outlook schlechter da, als Google Mail?!

Ich weiß nur, dass in Sachen Passwörter Microsoft Accounts auf 16 Zeichen begrenzt sind, weshalb ich lokal mein Konto nicht mit nem MS-Account verknüpfe. Bei Google ist das afaik nicht der Fall (dort hab ich ein 17 Zeichen lange Passwort).

Hab aber keine c't, von daher kann ich nicht nachschauen, welche Kriterien dort angebracht werden. Interessiert mich aber auch nicht wirklich, ne Domain mit Mailserver hab ich selbst welche am Laufen. Schade nur wegen SkyDrive, was teilweise echt nützlich wäre. Dafür probier ich momentan ein wenig BTSync aus.

"?" · 28. Juli 2014

Ihr kennt doch alle KeePass ?!
Dort gibt es die Option Generierung basierend auf Zeichensatz: Länge des generierten Passworts: 0-30000
Großbuchstaben (A, B, C, ...), Kleinbuchstaben (a, b, c, ...), Ziffern (1,2,3, ...), Minus(-), Unterstrich (_), Leerzeichen ( ), Sonderzeichen(!, $, %, &, ...) , Klammern ([, ], {, }, (, ), <, >) und Höhere ANSI-Zeichen.
Gut, die musste ich erst googeln aber ist diese Tabelle komplett? Weil wenn man das mal eingeben muss, wüsste ich ohne Tabelle nicht wie. (falls mal die Datenbank ausfällt und ich per Papier arbeiten muss)
Oder ist es gar keine höhere Sicherheit?

Yuuri · 28. Juli 2014

Herrmann schrieb:
Gut, die musste ich erst googeln aber ist diese Tabelle komplett?

Wie komplett? ASCII fehlt, ebenso jegliche Unicode-Zeichen. Die Tabelle stellt halt nur den ANSI Teil, ohne ASCII dar.

Herrmann schrieb:
Weil wenn man das mal eingeben muss, wüsste ich ohne Tabelle nicht wie.

Weshalb sollte man? Zudem können hier Probleme ohne Ende auftreten, wenn die Gegenseite nicht komplett auf Unicode läuft und die Encodings verhaut. Spätestens bei ner eventuellen Umstellung wäre "alles" dahin - siehe #16 und #20. Wenn du sicher gehen kannst, dass das Encoding korrekt umgesetzt wird, kannst du jegliches Zeichen des Unicode-Satzes wählen (ausgenommen Steuerzeichen, wie \r, \n, \t, \0 o.ä.). Unicode beschreibt dabei Multibyte-Zeichen (UTF-8 bspw.). Wie du siehst: mit einem Zeichen (über mehrere Bytes) in UTF-8 gibt es maximal 2^20 mögliche Kombinationen. Da ist ASCII/ANSI n Scheißdreck dagegen.

Herrmann schrieb:
Oder ist es gar keine höhere Sicherheit?

Wähl ein längeres Passwort und die Anzahl der unterschiedlichen Zeichen sind praktisch egal, denn die Komplexität des Passworts ist maßgebend von der Länge entscheidend (bei Bruteforce), denn diese wird mit Zeichenraumgröße^Passwortlänge definiert. Wenn der Hash-Algorithmus allerdings geknackt worden ist, hilft dir dabei aber auch das längste Passwort nichts. Da kannst du nichts anderes machen, als drauf warten, dass der Betreiber der Seite den Algorithmus abändert.

Passwörter > wie oft ändern?

Fleet Admiral

Ambassador

Admiral

Commander

Lieutenant

Admiral

"?"

Gast

Admiral

"?"

Gast

Admiral

Lieutenant

Ensign

Blackbird1997

Gast

Admiral

Fleet Admiral

"?"

Gast

Fleet Admiral

Fleet Admiral

"?"

Gast

Fleet Admiral

Ähnliche Themen